Команда дослідників Cisco Talos виявила нову потужну загрозу кібербезпеки — деструктивний вайпер PathWiper, спеціально створений для атак на об’єкти критичної інфраструктури України. Це шкідливе програмне забезпечення демонструє значний розвиток тактик кіберзлочинців та підвищення рівня складності їхніх інструментів.
Методи проникнення та розгортання загрози
Ключовою особливістю цієї кіберзагрози є використання легітимних адміністративних інструментів для розгортання шкідливого коду. Зловмисники попередньо отримують адміністративні права в цільових системах, що дозволяє їм обходити стандартні засоби захисту та маскувати свою діяльність під звичайні адміністративні операції.
Процес інфікування PathWiper відбувається поетапно: спочатку активується batch-файл Windows, який запускає шкідливий VBScript з назвою uacinstall.vbs. Цей скрипт завантажує та виконує основне корисне навантаження sha256sum.exe. Така багаторівнева схема розгортання значно ускладнює виявлення загрози антивірусними рішеннями та системами захисту.
Технічні характеристики та зв’язок з HermeticWiper
Фахівці з кібербезпеки відзначають схожість PathWiper з відомим HermeticWiper (також відомим як FoxBlade, KillDisk та NEARMISS), який раніше використовувався угрупованням Sandworm для атак на українську інфраструктуру. Подібність в архітектурі та методах роботи дозволяє припустити, що PathWiper є вдосконаленою версією або продовженням розробки HermeticWiper.
Головна відмінність PathWiper полягає в більш розвиненому алгоритмі виявлення цілей. На відміну від HermeticWiper, який обмежувався простим перерахуванням фізичних дисків, новий вайпер здатний програмно визначати всі типи підключених накопичувачів, включаючи локальні диски, мережеві ресурси та навіть демонтовані томи.
Деструктивний механізм знищення даних
PathWiper демонструє високий рівень технічної складності в процесі знищення інформації. Шкідлива програма використовує можливості Windows API для демонтажу томів, підготовуючи їх до повного знищення. Для підвищення ефективності малвар створює окремий потік для кожного виявленого тому, що дозволяє одночасно атакувати декілька цілей.
Основна шкода завдається шляхом перезапису критично важливих структур файлової системи NTFS випадковими байтами. Цей процес призводить до повної втрати даних та виведення цільових систем з ладу. Відновлення інформації після такої атаки стає практично неможливим без спеціалізованих інструментів та значних часових витрат.
Мотиви атакуючих та відсутність фінансових вимог
Аналіз кібератак з використанням PathWiper показує, що зловмисники не висувають жодних фінансових вимог або умов для відновлення даних. Відсутність елементів вимагання вказує на те, що єдиною метою атак є максимальне порушення роботи критичної інфраструктури та завдання економічних збитків.
PathWiper у контексті кібервійни проти України
Поява PathWiper продовжує тривожну тенденцію ескалації кібератак, спрямованих проти української інфраструктури. Цей вайпер доповнює обширний арсенал деструктивного шкідливого ПЗ, що включає WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper та AcidRain. Така різноманітність загроз свідчить про координовані зусилля з дестабілізації критично важливих систем.
Виявлення PathWiper підкреслює критичну важливість постійного моніторингу кібербезпеки та необхідність впровадження багаторівневих систем захисту. Організаціям критичної інфраструктури слід негайно переглянути свої протоколи безпеки, обмежити адміністративні привілеї та впровадити рішення для виявлення аномальної активності в мережах. Лише комплексний підхід до кібербезпеки може забезпечити надійний захист від подібних складних загроз.
